如何通过 Cognito 用户 ID 限制访问 AWS API Gateway 端点

Posted

技术标签:

【中文标题】如何通过 Cognito 用户 ID 限制访问 AWS API Gateway 端点【英文标题】:How to restricted to access AWS API Gateway endpoint by Cognito user id 【发布时间】:2021-07-25 18:43:37 【问题描述】:

我正在尝试使用 AWS Cognito、Api-Gateway 和 Lambda 实现电子商务应用程序后端。

要创建新项目,用户必须登录。创建项目后,使用的登录者将成为项目的创建者。我已经创建了一个 Item-create 端点并为 Apigateway 端点添加了 Cognito-JWT 授权方。

现在我需要实现 Item-update 端点。必须仅允许项目的创建者进行相关的项目更新。 API可能是这样的。

/items/item-id PUT
body :  title, price... 
header  Authorization: Cognito-JWT-Token 

使用 AWS 生态系统实施此类功能的最佳方式是什么。或实现此类功能的任何最佳实践。

【问题讨论】:

【参考方案1】:

您将为作为用户 ID 的每个项目创建一个属性 owner。通常,您会使用令牌中的 sub 声明,这是一个唯一 ID。但是,出于各种原因,我不建议将主题值与 cognito 一起使用。如果有人删除了他们的帐户并使用相同的电子邮件创建了一个新帐户,您可以使用电子邮件确保安全措施到位。

无论您选择什么,在您的处理程序中将所有者与经过验证的令牌声明进行比较。如果匹配则允许,如果不匹配则禁止。

【讨论】:

谢谢@Andrew。这意味着我们必须在 lambda 处理程序中处理它。 对于 REST API 是的。如果您使用身份池,您可以在 dynamodb 和 S3 中强制执行细粒度访问。但我不会采用这种方法,因为它的迁移路径非常糟糕。

以上是关于如何通过 Cognito 用户 ID 限制访问 AWS API Gateway 端点的主要内容,如果未能解决你的问题,请参考以下文章

如何在 AWS Cognito 中实施组限制访问

如何从 Cognito 身份池提供的身份凭证访问用户数据?

如何缓存来自 cognito 的 ID 令牌,以便后续访问 API 网关?

Cognito 用户池:如何使用刷新令牌刷新访问令牌

如何从通过 Google/Federated Login 登录的 AWS Cognito 检索 id 令牌

限制 AWS Cognito 用户池 javascript api 的请求来源